天津鸿萌科贸发展有限公司从事数据安全业务20余年,在数据恢复、数据取证、数据备份等领域有丰富的案例经验、专业技术及良好的行业口碑。同时,公司面向取证机构及数据恢复公司,提供数据恢复实验室建设方案,包含数据恢复硬件设备及数据恢复软件产品。
X-Ways Forensics 是数据取证领域的重要工具,支持以只读模式对磁盘、镜像文件、虚拟内存和物理内存进行分析,并生成取证报告。在不受严格限制的情况下,可以将 X-Ways Forensics 降级为 WinHex,进行磁盘扇区的编辑修复等操作。 WinHex 是数据恢复专业人员的常用工具。
WinHex 与 X-Ways Forensics 的不同许可证类型
- WinHex 个人许可证,价格较低,只能以非商业目的用于非经营性、非机构性、非政府环境中。
- WinHex 专业许可证,可以用于任何环境中(家庭、公司、组织或公共行政部门)。使用专业许可证可以执行脚本。
- WinHex 专家许可证,除了可以使用 Specialist 菜单功能、读取 exFAT, Ext2, Ext3, Ext4, Next3®, CDFS/ISO9660, UDF 文件系统之外,还可以突出显示可用磁盘空间和松散空间、支持 RAID 重建、支持 Windows 动态磁盘、Linux LVM2、目录浏览器中有更多列的信息显示、磁盘克隆/镜像的逆向操作。对于 IT 安全专家来说尤其实用。
- WinHex 实验室版本,除了可以读取HFS, HFS+/HFSJ/HFSX, ReiserFS, Reiser4, XFS文件系统以及UFS和UFS2+APFS(未加密)多种版本文件系统之外, 还可以创建证据管理器,以及运行正规版本的X-Tensions。
- X-Ways Forensics 取证版本,除了上述功能之外,还提供强大的案例管理功能和报告生成功能、内置浏览器和独立浏览器组件、画廊视图功能、卷快照优化、目录浏览器中更多列信息和筛选(列的顺序可以更改)、评价和报告表。此外,还可以对证据文件(.e01)进行读写,还有更多其他功能!对于计算机取证调查人员尤其实用。
- X-Ways 调查版本是 X-Ways Forensics 的简化版本。它没有 X-Ways Forensics 的功能多,甚至也不如 WinHex 功能多。X-Ways Forensics 的用户可以暂时将 X-Ways Forensics 软件界面降级为 X-Ways 调查版本界面,以判断对其组织来讲,通过购买更多的 X-Ways 调查版本许可证,并将调查工作任务(有些为非技术性任务)分摊给多个用户的这种许可证购买方案是否更加实惠。X-Ways 调查版本的设计初衷其实不是一个独立运行的产品。
WinHex 和 X-Ways Forensics 的其他区别
WinHex(主要执行文件是 winhex.exe 或 winhex64.exe)在用户界面中的名称为 WinHex;而 X-Ways Forensics(主要执行文件是xwforensics.exe或xwforensics64.exe)的界面名称是 X-Ways Forensics。但是,在共用的帮助文件和手册中,大多数情况下仅用 WinHex 这个通称,偶尔会用“X-Ways Forensics”。
WinHex 和 X-Ways Forensics 的基础代码相同。在 X-Ways Forensics 中,磁盘、解析镜像文件、虚拟内存和物理内存被严格的限制为只能以浏览模式(只读)打开,目的是强制执行取证程序,不可对证据进行任何更改。X-Ways Forensics 的严格写保护确保了不会对原始证据造成误改,这一点在法庭审理程序中是至关重要的。
只有在不受严格的取证程序限制以及/或在需要时能对磁盘或镜像执行更进一步的操作时(例如,用户需要修复一个启动扇区或删除某类或不相关的数据时),X-Ways Forensics 的用户才会选择运行 WinHex。使用 WinHex,用户可以编辑磁盘扇区和清空整个硬盘、可用空间、松散空间、所选文件、所选磁盘区域等。
X-Ways Forensics 用户如果需要将其软件降级为 WinHex,只需复制 xwforensics.exe 可执行文件,然后将复制文件重命名为 winhex.exe(或对于64位版本,复制xwforensics64.exe可执行文件,然后将副本文件重命名为winhex64.exe)。如果该程序基于名称为*winhex*.exe的可执行文件运行,则所有涉及到名称的地方(用户界面、案例报告、案例日志、镜像描述和所有屏幕截图)都显示 WinHex 名称,功能也与 WinHex 相同。这个版本是两者兼顾的最好方案:既有 X-Ways Forensics 完整的取证功能,又有 WinHex 编辑扇区和删除数据的功能。